Rapporto

Sondaggio SANS 2025 su rilevamento e risposta

Punti ciechi, lacune nell'automazione e il passaggio alla difesa potenziata dall'intelligenza artificiale

Il sondaggio SANS Detection & Response di quest'anno rivela un panorama della sicurezza sotto pressione. 

  • L'eccessiva dipendenza dall'EDR nell'endpoint sta creando nuovi punti ciechi.  
  • L'automazione continua ad espandersi, ma la fiducia totale rimane bassa.  
  • I team SOC devono affrontare un aumento dei falsi positivi, carenze di competenze e normative sempre più severe. 

Scopri perché il rilevamento deve avvenire prima nella catena di attacco, quale tipo di analisi comportamentale deve essere implementata e in che modo l'intelligenza artificiale dovrebbe potenziare, anziché sostituire, gli analisti. 

Condividi questo rapporto

Risultati principali

I dati SANS 2025 rivelano un aumento delle lacune causate da misure di sicurezza incentrate sugli endpoint, crescente complessità,
e condivisione incoerente delle informazioni.

89%

L'EDR rimane uno strumento "universale"

L'attenzione eccessiva agli endpoint lascia il perimetro e l'ingresso nel cloud in gran parte non protetti, creando lacune nel rilevamento post-compromissione (
).

73%

I falsi positivi sono in aumento

I falsi positivi sovraccaricano i team SOC già limitati dalla carenza di personale.

13%

Calo nell'adozione della piena automazione 

Nonostante il 90% utilizzi strumenti di rilevamento automatizzati, solo una piccola parte si affida completamente alla risposta automatizzata.

Punti Endpoint

L'EDR offre visibilità solo dopo che i file dannosi hanno raggiunto l'endpoint. Le organizzazioni non riescono a individuare le minacce nelle fasi iniziali al perimetro, nel cloud e lungo i percorsi di spostamento dei file.

Elevata adozione, bassa realizzazione dell'

I team SOC spesso non hanno fiducia nell'automazione perché gli strumenti non riescono a integrarsi nei flussi di lavoro umani. Un'automazione efficace deve arricchire, correlare e dare priorità, non sostituire il giudizio.

La pressione normativa modifica la collaborazione

Solo il 37% condivide le regole di rilevamento esternamente, anche se NIS2 e DORA spingono le organizzazioni verso la condivisione obbligatoria degli incidenti e degli IOC.

Perché questo rapporto è importante

Il sondaggio rivela i cambiamenti architetturali necessari per evolvere le capacità SOC.
Capire dove modernizzare le pipeline di rilevamento e come ridurre il carico di lavoro migliorando al contempo la precisione.

Gli analisti sono
superati dal rumore

I team devono adottare il sandboxing comportamentale e la ricerca delle somiglianze delle minacce tramite machine learning.

La complessità si espande più rapidamente delle competenze

Scopri l'impatto sulla sicurezza della frammentazione multicloud e delle lacune di integrazione.

L'intelligenza artificiale deve potenziare il talento umano nell'

I team di sicurezza necessitano di query in linguaggio naturale, estrazione automatizzata degli IOC e correlazione delle minacce basata sulla somiglianza.

Rafforza la tua strategia di rilevamento

Scarica il rapporto completo del sondaggio SANS e scopri come ridurre i punti ciechi, aumentare la capacità degli analisti e adottare una pipeline di rilevamento multilivello.

Scarica il rapporto